Команда certificate используется для регистрации СА сертификатов в базе продукта. Данная команда работает в режиме certificate chain configuration. Для удаления сертификатов используйте эту команду с префиксом no.
Синтаксис certificate certificate-serial-number
no certificate certificate-serial-number
certificate-serial-number порядковый номер СА сертификата в шестнадцатеричном представлении
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Certificate chain configuration.
Рекомендации по использованию
Указанный в команде порядковый номер СА сертификата в шестнадцатеричном представлении может быть любым, так как в данном релизе не используется.
Используйте эту команду для добавления СА сертификата в базу продукта или удаления СА сертификата.
Для добавления сертификата после ввода порядкового номера сертификата и нажатия Enter осуществляется переход в режим config-pubkey, в котором нужно ввести СА сертификат в виде последовательности шестнадцатеричных чисел. Для конвертирования файла с СА сертификатом из бинарного представления в шестнадцатеричное, можно воспользоваться любыми свободно распространяемыми утилитами. Заметим, что длина строки с телом сертификата в шестнадцатеричном представлении должна удовлетворять условиям:
· максимальная длина вводимой строки – 512 символов. Допускается пары шестнадцатеричных чисел разбивать между собой пробелами и переводами строки;
· количество символов в строке должно быть четным, чтобы не разбивать шестнадцатеричное число.
Прекращение ввода сертификата заканчивается командой quit.
Заметим, что в CSP VPN Gate версии 2.X допускалось введение сертификата в виде одной строки. Теперь это невозможно, так как появилось ограничение на длину строки ввода – 512 символов, реальные сертификаты в эту длину не помещаются.
Замечание:
Пользоваться командой certificate для регистрации СА сертификата неудобно. Наиболее удобным способом регистрации СА сертификата в базе продукта является использование утилиты cert_mgr import. После регистрации при следующем старте cs_console СА сертификат будет добавлен в cisco-like конфигурацию (логика по автоматической синхронизации CA-сертификата в cisco-like конфигурации и базе локальных настроек описана в пункте “Синхронизация” в разделе ”Запуск консоли”).
Пример
Ниже приведен пример добавления сертификата с порядковым номером 012:
Router# configure terminal
Router(config)# crypto pki certificate chain myca
Router(config-cert-chain)# certificate 012
Router(config-pubkey)# 30820337308202E4A0030201020210337F
AE6C6B85536F834A8D8E5358333F4F3090A06062A850302020405003038310B30279
060355040613025255310D300B060311400055040A130447494E53310B3009060355
3240B13025141310D300B060355040313F9
Router(config-pubkey)#quit
Router(config-cert-chain)# exit
Router(config)#